CVE-2021-47983
ŚrednieCVSS 6.4Streszczenie
Wtyczka WordPress Stripe Payments w wersji 2.0.39 zawiera podatność na przechowywane ataki XSS, umożliwiając uwierzytelnionym atakującym wstrzykiwanie złośliwych skryptów przez parametr AcceptStripePayments-settings[currency_code]. Atakujący mogą wysyłać żądania POST do /wp-admin/options.php z ładunkami skryptów w polu currency_code, co pozwala na wykonanie dowolnego JavaScriptu w przeglądarkach administratorów podczas przeglądania ustawień.
Ocena ryzyka
Podatność ta może prowadzić do przejęcia sesji administratora lub kradzieży danych, co stanowi poważne zagrożenie dla bezpieczeństwa witryny. Umożliwia atakującym wykonanie złośliwego kodu w kontekście przeglądarki administratora.
Rekomendacja
Zaleca się aktualizację wtyczki Stripe Payments do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa wtyczek i monitorować logi w celu wykrycia potencjalnych ataków.
Oryginalny opis (angielski, źródło NVD)
WordPress Plugin Stripe Payments 2.0.39 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts through the AcceptStripePayments-settings[currency_code] parameter. Attackers can submit POST requests to /wp-admin/options.php with script payloads in the currency_code field to execute arbitrary JavaScript in administrator browsers when settings are viewed.

